Para un servidor web que maneje el 100% del tráfico entrante con los contenedores de Docker, ¿es necesario aplicar actualizaciones de seguridad al host (además de las actualizaciones del núcleo y Docker)?
¡Absolutamente, sí! Vale la pena leer este enlace que también mantiene la vista de que debe asegurarse de que su host esté completamente parcheado con las últimas versiones de los componentes de software de su sistema operativo: enlace
Concuerda con la reducción de la superficie de Rory re: attack, es decir, paquetes host mínimos / livianos instalados.
Por supuesto, ayudaría a proporcionar un ejemplo de lo que puede suceder si no lo hace, aunque un examen de CVE debería recordarle los problemas relacionados con los desglose de contenedores y cómo pueden lograrse: enlace
Aquí puede encontrar una guía más completa sobre el endurecimiento de la ventana acoplable: enlace
En general, es una buena idea aplicar cualquier parche de seguridad disponible para un host que esté ejecutando. En el caso de un host Docker, mientras que los paquetes fuera de la ventana acoplable y el kernel pueden no estar expuestos directamente, pueden entrar en juego si, por ejemplo, un atacante obtiene acceso sin privilegios al host.
Lo que puede hacer es reducir la cantidad de parches que deberá aplicar al reducir la cantidad de paquetes instalados en el host.
Si el host simplemente ejecuta contenedores de Docker, puede ver algo como linuxkit o RancherOS que puede crear una instalación básica simplificada.
Lea otras preguntas en las etiquetas docker